国家标准 GB/T36466一2018 信息安全技术工业控制系统风险评估实施指南 Informationseeuritytechnology一 mplementatioguidetorisk assessmentofindustrialcontrolsyste1s 2018-06-07发布 2019-01-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB/36466一2018 目次前言引言范围 2 规范性引用文件术语、定义和缩略语 3.1术语和定义 3.2缩略语概述 4.l工业控制系统层次结构模型 4.2实施原则及工作形式 4.3框架及流程实施方法 5,1概述文档查阅 5.2 5.3现场访谈 5.4现场核查 5.5现场测试 5.6模拟仿真环境测试实施过程 6.1准备 6.2资产评估 6.3威胁评估 16 6.4脆弱性评估 19 6.5保障能力评估 28 6.6风险分析 30 6.7残留风险控制 31 附录A(资料性附录记录表 32 附录B(资料性附录)脆弱性及保障能力核查表示例 34 参考文献 41
GB/36466一2018 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准主要起草单位:国家信息技术安全研究中心、电子技术标准化研究院、全球能源互联网研究院、电子信息产业集团有限公司第六研究所本标准主要起草人;李京春、李冰、刘鸿运、方进社、刘贤刚、范科峰、高昆仑、刘仁辉、葛培勤、王宏、曾珍珍、李健、梁潇将詹雄、李霞、庞宁、姚相振、周睿康,赵婷、刘楠、徐克超、蔡磊
GB/T36466一2018 引言随着工业控制系统和信息化技术的融合，工业控制系统广泛应用于冶金电力、石化、水处理、铁路航空和食品加工等行业工业控制系统指应用于工业控制领域的数据采集、监视与控制系统,是由计算机设备、工业过程控制组件和网络组成的控制系统,是工业领域的神经中枢工业中使用的控制系统包括监视控制与采集系统、分布式控制系统、可编程逻辑控制器系统等我国把工业控制系统信息安全作为信息安全保障的一个相对独立的体系进行建设,其安全性将直接关系到国家重要基础工业设施生产的正常运行和广大公众的利益本标准在对工业控制系统的资产进行整理分析的基础上,从其资产的安全特性出发,分析工业控制系统的威胁来源与自身脆弱性,归纳出工业控制系统面临的信息安全风险,并给出实施工业控制系统风险评估的指导性建议本标准主要为第三方安全检测评估机构在工业控制系统现场实施风险评估提供指南,也可供工业控制系统业主单位进行自评估时参考 IN
GB/36466一2018 信息安全技术工业控制系统风险评估实施指南范围本标准规定了工业控制系统风险评估实施的方法和过程本标准适用于指导第三方安全检测评估机构对工业控制系统的风险评估实施工作,也可供工业控制系统业主单位进行自评估时参考规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20984一2007信息安全技术信息安全风险评估规范 GB/T31509一2015信息安全技术信息安全风险评估实施指南 GB/T32919一2016信息安全技术工业控制系统安全控制应用指南 1sO/IEC62264-1:2013企业控制系统综合第1部分;模型和术语(Enterprise-controlsystem integrationPartl;Modelsandterminolo ogy 术语、定义和缩略语 3.1术语和定义 GB/T315092015和GB/T329192016中界定的以及下列术语和定义适用于本文件 3.1.1 监视控制数据采集系统superyisorycontrolanddataaequisitiosystemm;sCADA 在工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统 3.1.2 分布式控制系统distributedcontrolsystem;DCs 以计算机为基础,在系统内部(单位内部)对生产过程进行分布控制、集中管理的系统 3.1.3 主终端单元masterterminalunit;MU 用于生产过程信息收集和检测的工业控制系统总站注;一般部署在调度控制中心 3.1.4 远程终端单元remoteterminalunit;RTU 用于监测、控制远程工业生产装备的工业控制系统远程站点设备 3.1.5 可编程逻辑控制器programmablelogiecontroller;Pc' 采用可编程存储器,通过数字运算操作对工业生产装备进行控制的电子设备
GB/T36466一2018 3.1.6 智能电子设备inteligenteleetroniedeviee;IED 用于生产过程的信息采集、自动测量记录和传导,通过网络与MTU保持通信的智能化电子设备注:一般部署在管网站场 3.1.7 人机界面hman-machineinterfaee;HHMI 为操作者和控制器之间提供操作界面和数据通信的软硬件平台 3.2缩略语下列缩略语适用于本文件 Cs工业控制系统(IndustrialControlsystem) rvisoryControlAndDataAc eequisition) SCADA监视控制与数据采集系统(Supery DCS分布式控制系统(DistributedControlSystenm) PLc可编程逻辑控制器(ProgrammableLogieController) emoteTerminalUnit RTU远程终端设备(Rer MrU主终端设备(MastTermimal lUnmin) CL 访问控制列表(AccessControlIist) DNs域名系统(Do omainNameSystem DHCP动态主机配置协议(DynamicHostConfigurationProtocol DNP分布式网络协议(DistributedNetworlkProtoeol) moteProcedureCalProtocol RPC远程过程调用协议(Ren DcOM分布式组件对象模式(MierosoftDistributedComponentObjeetModel) OPC用于过程控制的对象连接与嵌人(ObiectLinkingandEmbeddingforProcessControl enialofService DoS拒绝服务(De CAN控制器局域网络(ControlerAreaNetwork) UPS不间断电源(UninterruptiblePowerSystem umanMachineInterface HMI人机界面(Hun cVSs通用漏洞评分系统(CommonVulnerabilityScoringSystem) 概述 4.1工业控制系统层次结构模型工业控制系统应用的技术领域、行业特点或者承载的业务类型的差异化导致实际中工业控制系统的架构差别较大为了就典型的工业控制系统的功能特点和部署形式达成共识,本标淮依据 sO/IEC62264-1:2013的层次结构模型,给出了通用的工业控制系统的层次结构模型,如图1深色部分所示
GB/36466一2018 层级4企业资源层建立基本工生产调度、材料使用、运输、企业资源层确定库存等级、操作管理等层级3;生产瞥理层工作流/处方控制来生产期望的终端产品生产管理层细维护记录和优化生产过程，调度生产，化生产调度过程，保证可靠性等层级2过程监抄层使监控，管理控制和自动控制生产过程，过程监控层用软件和设备包括，组态软件、监控软件数据库、oPC服务器、c、路由器交换机等层级1:现场控制层传感数据采集和生产过程控制使用设备包括:Lc、RrU和DcS控现场控制层制器等控制单元层级0:现场设备层传城和操作生产过现场设备层程，使用设备包括;传感器、执行器等图1工业控制系统层次结构模型图根据层次结构模型图中所述,企业资源层与生产管理层中用到的多为传统信息系统中通用的软件和硬件,GB/T31509一2015给出了相应的评估方法过程监控层,现场控制层和现场设备层是工业控制系统中特有的部分本标准主要规范这3个层面的风险评估的实施工作 4.2实施原则及工作形式 GB/T315092015规定了风险评估实施的原则,包括标准性原则关键业务原则可控性原则及最小影响原则 GB/T20984一2007明确了风险评估的基本工作形式是自评估与检查评估无论自评估或检查评估均可委托第三方工业控制系统风险评估机构实施 4.3框架及流程 4.3.1风险要素关系风险评估中各要素及其关系如图2所示
GB/T36466一2018 资产保护面临影响保障能力降低减少拟御风险增加引发利用脆弱性威胁图2工业控制系统风险要素的关系工业控制系统风险评估的基本要素包括资产,威胁、保障能力以及脆弱性风险评估围绕这些基本要素展开,在对这些基本要素的评估过程中需要充分考虑与基本要素相关的各类属性风险基本要素与属性间存在如下的关系: 工业生产运行依赖资产去实现 a b) 资产具有资产价值,体现在工业生产运行以及系统信息安全对资产的依赖程度,依赖度越高，资产价值越大 c 资产面临威胁,资产价值越大则其面临的威胁越大; d 保障能力可保护资产安全,抵御威胁,保障能力越强,资产面临的威胁越少; 风险是由威胁引发的,资产面临的威胁越多则其风险越大 e 脆弱性会影响资产安全,威胁可利用脆弱性来损害资产,从而形成风险; 脆弱性越多,安全风险的可能性越大; g 保障能力可减少脆弱性,降低安全风险; h 需要结合资产价值综合考虑保障能力的实施成本; 保障能力可抵御威胁,弥补或减少脆弱性,降低安全风险风险不可能降低到零.在实施了安全措施后还会有残留风险有些残留风险来自于保障能力的不足,需要加强控制,而有些残留风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的风险
GB/36466一2018 4.3.2风险评估流程工业控制系统风险评估实施分为3个阶段,包括;风险评估准备阶段、风险要素评估阶段、综合分析阶段根据工业控制系统风险评估的不同阶段,评估方制定相应的工作计划,保证评估工作的顺利进行风险评估实施过程见第6章,风险评估实施流程如图3所示风险评估准备风险要素评估脸弱性评估资产评估威胁评估保障能力评做综合分析分析过程文件风险分析分析过程文件是持续监控风险是否可按受残留风险制定风险控制措施实施风险拉制行动评估残留风险风险评估过程记录是否接受残留风险评估报告风险管理图3风险评估实施流程图实施方法 5.1概述对工业控制系统进行风险评估需要进行调查、取证,分析和测试工业控制系统风险评估的方法主要有5种;文档查阅、现场访谈,现场核查,现场测试和模拟仿真环境测试 5.2文档查阅文档查阅用于确认被评估方的政策及技术方面是否全面且是最新的被评估方应提供评估所需的
GB/T36466一2018 文件,以确保评估方对其进行全面审查评估方查阅被评估方的工业控制系统规划设计方案,网络拓扑图、系统安全防护计划安全策略,架构,要求、标准作业程序、授权协议、系统互连备忘录、信息安全事件应急响应计划等文档,评估其准确性和完整性文档查阅有助于评估方了解工业控制系统的基本信息,包括网络拓扑结构、主要软硬件构成等文档查阅可以发现可能导致丢失、不足或不正确执行的安全策略评估方需验证被评估方的文档是否符合标准和法规,查找被评估方政策的缺陷、过时内容或不合理实施指南如下评估方在准备阶段编制一份通用的工业控制系统风险评估文档查阅所需文件目录 a 被评估方根据文件目录提供相对应的文档 b 评估方审查相关文档内容是否完整合规 c d 当所需文件不可调阅或不存在时,评估方对其进行标注,并就相关内容与被评估方沟通 5.3现场访谈现场访谈用于收集客观事实材料,补充在文档查阅中未被发现的工业控制系统细节,进一步理解和洞察工业控制系统的开发,集成,供应,使用管理等过程评估方应在评估实施之前准备好访谈问卷或调查表访谈中,可以根据被访者的反映,对调查问题作调整或展开现场访谈调查表参见附录A 实施指南如下评估方在评估准备阶段编制一份通用工业控制系统风险评估访谈调查表; a 被评估方根据具体问题分配不同的人员配合评估方访谈,分配的人员应是最熟悉该评估对象 b 的人员若访谈对象对某些问题无法给出确定的答复,应对该问题进行标注,并在后续评估过程中对其进行确认; 对访谈中需要验证的问题进行标注,以备后期现场核查及技术确认; d 访谈对象在访谈结束后对访谈记录进行核查,若无误则需进行签字确认 5.4现场核查现场核查是在工业控制系统现场生产环境下进行的核查工作,能够真实地反应系统的安全问题以下几种情况可能需要使用现场核查对工业控制系统现场物理环境评估 a b) 对工业控制系统配置、系统架构和系统日志等评估; 对工业控制系统安全管理评估 c d 对已采取安全措施进行确认实施指南如下: 评估方需将需要现场核查的测试项与工业控制系统现场生产管理、操作人员进行沟通,制定现场核查计划安排如果工业控制系统分布区域很大,涉及多个部门,需提前做好计划安排,统筹时间和人员等 b 对于部分工业控制系统所在的现场环境恶劣的情况,应严格遵守被评估方现场规章制度;必要时,在进人工业控制系统现场前,被评估方可组织评估人员进行安全教育培训,保障人员的安全; 评估方核查工业控制系统的访问控制、审计等功能时,需工业控制系统的现场生产管理、操作
GB/36466一2018 人员和相应的信息安全人员在场,最好由工业控制系统操作人员对其进行核查操作,评估人员只负责查看并记录结果; 现场核查测试时,评估方不应改动工业控制系统的任何配置; d 记录现场核查的结果若发现不符合项或脆弱项,需对其进行验证 e 5.5现场测试工业控制系统分为离散型和连续型某些离散的工业控制系统,如数控机床等,处于非运行状态时可以进行现场测试现场测试是指直接在待评估工业控制系统现场环境上进行安全性测试,这种测试方法能够更真实的反应工业控制系统存在的脆弱性现场测试方法包括漏洞扫描、协议分析、设备漏洞挖掘、渗透性测试等渗透性测试的目的是为发现和确认工业控制系统的脆弱性,可在被评估方允许的前提下对离散过程的工业控制系统实施测试前应与相关专家讨论具体的实施方案和评估可能产生的后果,并制定相应的处置计划评估方应谨慎使用渗透性测试方法现场测试完成后,需要对系统进行验证才能再次投人使用 5.6模拟仿真环境测试连续型工业控制系统往往处于不间断运行状态,任何系统故障都可能造成巨大的损失风险评估过程中脆弱性识别往往需要进行攻击测试或绕过系统的安全机制,若直接在生产系统上实施会带来更大的安全风险,甚至导致工业控制系统崩溃或进人不可控状态因此需要搭建模拟仿真测试环境并在此基础上进行安全测试工作由于测试工作仅在模拟环境中进行,不会对现场工业控制系统的正常运行造成影响模拟仿真环境下的测试评估是最有效的测试评估方法,能够在更大的范围内发现被测试系统内的流程、协议、实现等安全漏洞模拟仿真测试评估在测试过程中可能会造成被测试设备的损坏,或导致被测试系统的数据库中产生无效数据若使用工业控制系统的开发、测试或备用系统作为模拟仿真测试环境,在测试完成后需要经过验证才能将其投人使用,以承担其原本的功能模拟仿真测试最常用的技术测试方法包括渗透测试、固件道向分析,专用嵌人式系统分析、源代码审计、程序的上传下载漏洞分析、专有协议分析、硬件板卡分析等常用的检测工具包括漏洞扫描器,渗透性测试工具,通讯协议数据捕获工具等在模拟仿真环境中既可对整个系统的安全性进行测试,评估系统整体安全状况,也可针对重要设备进行单独的组件测试,以识别工业控制系统的关键风险实施过程 6.1准备 6.1.1概述风险评估的准备是整个风险评估过程有效性的保证评估方与被评估方都应充分做好风险评估实施前的各项准备工作为保障风险评估工作的顺利开展,应召开风险评估工作启动会议 GB/T31509一2015规定了启动会议的内容及意义图4是工业控制系统风险评估准备工作流程
GB/T36466一2018 步输出确定评估目标评估日标确定评估范围详范用组建评估团队成员角色及以喷系统训研调研报告制定详仿方案评估方案搭建模拟仿真测试环境模拟仿真测试环境图4风险评估准备工作流程 6.1.2确定目标风险评估应贯穿于工业控制系统生命周期的各阶段中,由于工业控制系统生命周期各阶段中风险评估实施的内容、对象、安全需求均不同,因此评估方应首先根据当前工业控制系统的实际情况来确定在工业控制系统生命周期中所处的阶段,并以此来明确风险评估目标,如图5所示具体实施过程见 GB/T2098！2007以及GB/T315092015 愉入方法输山 I.法律法规 1.被评估系统所处牛命 2.行业标准 I.义档查阅周期的阶段 3.系统规划文档 2.沟通交流 2.评估目标 4.系统设计文档养综满次运佛、必课等文梢 6.ICS相关人员图5确定评估目标实施指南如下评估方应根据输人的文档材料及对相关人员的访谈,分析研判出工业控制系统现在所处的生 a 命周期 b 根据生命周期不同阶段的要求确定评估目标 6.1.3确定范围风险评估实施范围是评估方工作的范围评估范围可以是包括生产管理层和企业资源层在内的整个工业控制系统,也可以是工业控制系统中特有部分或关键业务处理系统等在确定评估范围时,应结合评估目标以及工业控制系统的实际建设运行情况合理的确定评估范围边界确定评估范围如图6 所示
GB/36466一2018 方法输出输入 l,评估尺标评钻私成 l.文档女阅 2,卡要业务 1.业务迎辑边界 2.组纵要求 3.组织要求的评估粘围 2.网络及设备载体边界 3.沟通交流 4.与评估目标相关的资产 3,物埋环境边界 5.组织管理权限 4.组织管理权限边界 6.评估对象实际建设情况图6确定评估范围实施指南如下评估方应了解工业控制系统所处的工业控制安全基线级别,具体见GB/T329192016; b 评估方应了解被评估方要求评估的范围和实际工业控制系统建设情况; 风险评估实施范围应包括被评估方工业控制系统相关的资产、管理机构,关键业务流程等 c d)评估方应结合已确定的评估目标,被评估方要求评估的范围和实际工业控制系统建设情况，合理定义评估对象和评估范围边界 6.1.4组建团队风险评估实施团队可由评估方与被评估方的风险评估实施组、专家组共同组成评估方应由工业控制系统专业人员、信息技术评估人员等组成一个运行的工业控制系统会涉及多个利益相关方,包括提供工控产品的厂商、实际销售工控产品的分销商、集成并开发应用系统的集成商,为系统提供运行维护的厂商以及工控系统的所有者等在进行工业控制系统的风险评估之前,需要清晰界定评估所针对的是工控系统生态的哪一部分,涉及哪些利益相关方,从而确定风险评估过程中被评估方应当邀请的参与人员评估实施团队应进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定评估方与被评估方应签署保密协议每个团队成员应具有明确的职位和责任为确保风险评估实施工作的顺利有效进行,应采用合理的项目管理机制,评估团队和被评估方主要成员的职位与职责说明分别见表1和表2 表1评估方成员职位与职责说明评估方人员职位工作职责是风险评估项目中实施方的管理者、责任人,具有丰富的工业控制系统风险评估经验具体工作职责包括 GB/T31509一2015规定的: 2 参与风险评估启动会议; 项目组长 3 组织开展风险评估方案专家评审会组织开展风险评估报告等项目成果物专家评审会组织评估方成员开展保密教育及相关技术培训参与项目验收会议 7 配合搭建模拟仿真测试环境
GB/T36466一2018 表1续评估方人员职位工作职责是负责风险评估项目中技术方面评估工作的实施人员,应熟悉工业控制系统专用的通信协议例如;DNP3,ModBus,PRoFINET,PRoFIBUs等);同时应精通编码,逆向工程,协议分析和渗透测试等;部分工业控制系统使用非桌面操作系统,评估实施团队成员应熟悉被检测工业评估人员控制系统使用的操作系统具体工作职责包括 1GB/31509一2015规定的参与保密教育及相关技术培训是负责风险评估项目中质量管理的人员具体工作职责包括质量管控员 )GB/T31509一2015规定的 22) 参与保密教育及相关技术培训表2被评估方成员职位与职责说明被评估方工作职责人员职位是风险评估项目中被评估方的管理者具体工作职责包括 GB/T31509一2015规定的 2 组织被评估方成员开展保密教育及相关技术培训; 项目组长组织召开风险评估启动会议; 3 组织开展项目验收会议组织搭建模拟仿真测试环境是指风险评估项目中被评估方的工作协调人员,应被赋予一定权力具体工作职责包括 GB/T315092015规定的; 项目协调人参与保密教育及相关技术培训; 2) 参与风险评估启动会议 4配合搭建模拟仿真测试环境是指被评估方的专职信息安全管理人员在风险评估项目中的具体工作职责包括: -2015规定的 lGB/T31509 信息安全管理人员参与保密教育及相关技术培训 2 3)配合搭建模拟仿真测试环境是指在被评估方的工业控制系统运行维护及操作人员运维及操作人员承担工业控制系统中的现场控制层及现场设备层的管理运维及使用在风险评估项目中的具体工作职责包括运维及操作人员 )GB/T31509一2015规定的 2参与保密教育及相关技术培训 3配合搭建模拟仿真测试环境 10
GB/36466一2018 表2(续被评估方工作职责人员职位是指工业控制系统关键产品(包括软硬件供应商人员代表在风险评估项目中的具体工作职责包括关键产品供应商人员1)在项目组长的安排下,配合评估方的工作 2)参与保密教育培训 3 参与风险评估项目的验收是指工业控制系统的集成商代表,在风险评估项目中具体的工作职责包括在项目组长的安排下,配合评估方的工作; 22 系统集成商人员参与保密教育及相关技术培训配合搭建模拟仿真测试环境 3 参与对风险评估项目的验收专家组由工业控制系统相关领域专家组成,职责包括对风险评估实施方案进行评审; a 对风险评估报告等项目成果物进行评审; b 对评估工作中出现的关键性问题提供指导; c d 对风险评估整个过程进行监督 6.1.5系统调研系统调研是熟悉了解被评估对象的过程,风险评估组应进行充分的系统调研,修正评估目标跟范围,同时为风险评估依据和方法的选择,评估内容的实施奠定基础评估方对工业控制系统进行调研可采取文档查阅、资料收集、现场交流和现场查看等方式进行,如图7所示方法输出 1.业务战略及瞥理制度 2.业务功能和要求 3.网络结构与网络环境 1.文档查阅 4.系统边界调研报告 2.现场沟通交流 5.主要的硬件、软件 3.资料收集 6.数据和信总 7.系统和数据的敏感性 8.系统操作人员 9,系统运维记录及日志图7系统调研实施指南如下: 评估组针对工业控制系统与系统运维、系统操作、关键产品供应商等相关人员进行交流,了解 a 1
GB/T36466一2018 其承担的业务、网络结构、系统边界等评估组查看其设计、使用说明等文档 b 1在工业控制系统中,若现场设备及其应用软件非被评估方自己开发,评估组需仔细审查供应商提供的所有资料,并与供应商取得联系,以便评估实施时可以进行技术沟通查看工业控制系统的安全需求及对应工业控制系统所处安全控制基线级别,采取哪些工 2 业控制系统安全措施评估组现场核查工业控制系统的物理环境、操作过程、设备组成等方面的信息并进行资料收集 d 评估组根据现场调研整理调研结果，编写调研报告 6.1.6制定评估方案风险评估方案是评估工作实施活动总体计划,用于管理评估工作的开展,使评估各阶段工作可控并作为评估项目验收的主要依据之一风险评估方案应得到被评估方的确认和认可风险评估方案的内容应包括(但不仅限于) 风险评估工作框架:包括评估目标、评估范围、评估依据、评估工具等,其中评估依据和评估工 a 具可根据GB/T315092015来确定 b 评估团队;包括评估组成员、组织结构,角色、责任评估工作计划:包括各阶段工作内容和工作形式 c d 评估环境要求:根据具体的评估方法选取相应的评估环境,包括工业控制系统现场环境，工业控制系统开发和测试环境,模拟仿真测试环境; 风险规避:包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等; fD 时间进度安排;评估工作实施的时间进度安排 6.1.7搭建模拟仿真测试环境被评估方应根据测试方案的需要,搭建合适的模拟仿真测试环境模拟仿真测试环境搭建需保证与现场工业控制系统的一致性,主要体现在以下5个方面现场控制层设备、过程监控层设备、网络边界设备,包括其品牌、型号、固件、配置、开启的服 a 务等; b 关键软件,包括其厂商、版本号,补丁、配置等通讯协议 c 系统架构及网络架构 d 模拟仿真测试环境的规模不必与实际系统相同 e 若被评估方存在工业控制系统的开发、测试环境,评估方需对其进行评判,满足模拟仿真环境的要求后方可在其中进行进一步的测试评估工作图8是模拟仿真测试环境示例 12
GB/36466一2018 生产管理层网络防护设备 Web服务器历史数据库应用服务器过程监控层网络工程师站实时数据库控制服务器 HMI 异构设备现场控制层网络工业以太网或工业总线连接网络边界设备 RTu ED PLC 网络边界设备工业以太网成工业总线连拨现场设备层网络图8模拟仿真测试环境 13
GB/T36466一2018 6.2资产评估 6.2.1资产评估概述资产是对被评估方具有价值的信息或资源,是安全策略的保护对象资产价值是资产重要程度或敏感程度的表征资产评估包括识别资产和评估资产价值2个方面内容 6.2.2资产分类在一个组织中,资产有多种存在形式不同类别的资产重要性不同,面临的威胁也不同对工业控制系统及相关的资产进行分类可以提高资产识别的效率在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估方灵活把握根据资产的表现形式,可将资产分为软资产、硬资产和人力资产等,如表3所示表3一种基于表现形式的资产分类方法系统软件;操作系统、数据库管理系统,开发系统等; 应用软件;远程拨号软件,OPC,办公软件,数据库软件、远程控制软件、工业控制系统组态软件,工业控制系统相关开发软件、各类工业控制系统工具软件等源程序;各种共享源代码、自行或合作开发的各种代码、工业控制系统定制开发流程代码、现场设备因件等; 软资产工业控制系统专有协议:CAN、MODBUS、PR(OFIBUS、MP1、PPI、PROFINET、OPC、DNP3.0、 FoundhationFieldbus,Lonmworks,lHART和工业以太网等; 通用协议;FTP,TFTP,HrP,DNs,SNMP,Tednet等，数据:保存在信息媒介上的各种数据资料,包括源代码、实时数据库数据、历史数据库数据、系统文档、系统日志,运行管理规程,计划,报告,用户手册、各类文档等现场控制层设备:IED.,Dcs,PLc,RTU等; 网络设备:工业控制系统协议转换器、路由器、网关、交换机、调制解调器等; 安全设备工业防火墙、人侵检测系统、网闸、.VPN等; 硬资产计算机设备;服务器、工作站、台式计算机,便携计算机、HM等存储设备;磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等; MoDBUs,PRoF1s专用工业控制系统总线等传输线路;光纤,双绞线,无线、 ,CAN总线、保障设备;UPS,变电设备、空调、保险柜、文件柜、门禁、消防设施等掌握重要信息和核心业务的人员;信息安全人员、工业控制系统设计人员,集成人员,关键设备供应商、人力资产操作人员,运维人员等 6.2.3资产调查资产调查是识别被评估方工业控制系统中资产的重要途径资产调查一方面应识别出有哪些资产,另一方面要识别出每项资产自身的关键属性工业控制系统结构复杂,资产繁多,为保证风险评估工作的进度要求及质量要求,有时不能对所有资产进行全面分析,应选取其中关键的资产进行分析,资产调查如图9所示 14
GB/36466一2018 输入万法输出 1.规划书 2.设计方案 3.实施方案 4.户手朋 1.文档查阅 2.现场核查 5.测试报告 1.评估资产清单 3.现场访谈 6.管理制度文件 2.关健资产 4.资料收集 7,.资产清单 8.网络拓扑阁 9,制度落实的记录文件 10.系统相关人员 ll.评估忙围图9资产调查协议也属于系统资产工业控制系统广泛使用私有协议.往往会出现许多安全同题资产调查过程中,应识别出工业控制系统使用的通讯协议并对其进行评估实施指南如下评估组根据评估目标和范围,确定风险评估对象,并梳理其基本信息,可以参照附录A中表A.1 进行访谈; 评估方根据被评估方提供的规划书、设计方案、用户手册等文档并结合现场访谈相关人员识别出工业控制系统的具体业务; 评估方根据工业控制系统的业务并结合现场访谈相关人员,识别出工业控制系统的工艺需求以及安全需求; 评估方根据工业控制系统的工艺需求和安全需求,结合现场访谈相关人员,识别出关键功能 d 需求及安全需求; 评估方根据识别的关键需求、被评估方提供的资产清单、网络拓扑图等识别出工业控制系统的关键资产 6.2.4资产分析根据工业控制系统承担的业务,判断资产的可用性,完整性和保密性的优先级通常工业控制系统将可用性作为首要需求进行资产赋值时可以参考如下因素工业控制系统的重要性以及安全等级; a b 资产对工业控制系统正常运行的重要程度工业控制系统信息安全对资产的依赖程度; c d)资产可用性、完整性、保密性对工业控制系统以及相关业务的重要程度分析资产的可用性,完整性、保密性安全属性的等级,并参考对可用性,完整性、保密性赋值，经过综合评定得到资产的最终赋值结果,如图10所示将资产价值分为5个等级,具体含义见GB/T20984一2007 15
GB/T36466一2018 输出输入方法 1.资产分折 1.资产清巾 2.资产属性赋似资产价侦等级 2.业务依校登产的度 3.加权计算资产价俏图10资产分析实施指南如下根据系统承担的业务,分析研判资产的安全属性可用性、完整性和保密性的优先级;一般情况 a 下 ,工业控制系统会将可用性放在首位; 根据资产调查以及资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的 b 风险评估 6.3威胁评估 6.3.1威胁评估概述威胁是指可能导致危害系统或被评估方的不希望事故的潜在起因威胁是客观存在的,不同的资面临威胁不同,同一个资产不同威胁发生的可能性和造成的影响也不同全面,准确地识别威胁有利于做好防范措施威胁评估要识别出威胁源,威胁途径及可能性和威胁影响,并对威胁进行分析赋值 6.3.2威胁分类威胁源是产生威胁的主体不同的威胁源具有不同的攻击能力,在进行威胁调查时,首要应识别存在哪些威胁源,同时分析这些威胁源的动机和能力攻击者的能力越强,攻击成功的可能性就越大衡量攻击能力主要包括:施展攻击的知识、技能、经验和必要的资金、人力和技术资源等表4列出了工业控制系统通常面临的威胁来源表4基于威胁源的威胁分类威胁源描述环境因素包括断电,静电,灰尘,潮湿,温度、鼠蚁虫害、电磁干扰、洪水、火灾,地震、意外事故环境因素等环境危害或自然灾害等; 除了自然灾害等不可抗因素,来自环境因素的威胁基本上可以通过加强保障能力来抵御操作是由于内部人员缺乏责任心,不哭心或不哭注,没有连规章制度和操作流程，缺习误操作培训,专业技能不足等导致的工业控制系统故障或被攻击有意破坏是由对被评估方不满或具有某种患意目的的内部员工对工业控制系统进行破坏或内部有意窃取系统信息; 破坏内部人员了解系统状况并具有一定的访问权限,可以物理接触系统,掌握系统的关键信息进行有意破坏不需要掌握太多人侵知识就可以破坏系统或窃取系统数据外部攻击是外部人员或组织对系统进行的攻击外部攻击者难以接触系统,应具备一定的资外部攻击金,人力、技术等资源不同的攻击者能力差异较大供应链包括对被评估方提供硬件、软件、服务等的制造商及生产厂,可能在提供的软硬件设备供应链上设置“后门”来达到方便维护人员调试或窃取系统信息等目的 16
GB/36466一2018 表5中提供了工业控制系统可能存在的威胁表5工业控制系统可能面临的威胁威胁名称描述自然灾难使工业控制系统的一个或多个组件停止运行,例如地震、火灾、洪水或其他未预期的灾难事故停电自然灾难,恶意或无恶意的个人引起的停电事故,影响工业控制系统一个或多个组件的运行非法信息披露无权限者进行攻击(嗅探,社会活动),以获得储存在工业控制系统组件中的敏感信息非法分析无权限者进行攻击(嗅探,社会活动),用于分析受保护的敏感信息无权限者进行攻击(修改,旁路,嗅探),以修改存储于工业控制系统组件中的敏感信息非法修改非法破坏无权限者进行攻击(破坏,旁路). 不存储于工业控制系统组件中的敏感信息 ,以破坏通过以下攻击(修改,旁路,物理攻击,工业控制系统组件被恶意的人员篡改篡改控制组件错误操作合法操作员意外的发布错误指令或进行错误配置,导致受控工业控制系统过程和组件被破坏无权限者进行攻击(嗅探,欺骗,社会活动),以获得存储于工业控制系统组件中的用户凭证，冒充合法用户冒充合法用户抵赖合法用户否认在工业控制系统交互式系统中已执行的错误操作无权限者进行攻击(破坏,D0S),使工业控制系统组件在一段时间内无法使用,达到系统拒绝拒绝服务为合法用户提供服务的目的无权限者进行攻击(错误操作,嗅探,欺骗,社会活动),以获得存储于工业控制系统服务器组提升权限件中的用户凭证,提升工业控制系统组件访问的权限,达成恶意目的操作员错误操作和安全违规的系统故障,在工业控制系统交互式系统中,执行的日常任务没故障检测缺失有被检测和审计,以作进一步的分析和修正个人恶意或无意地将病毒传人工业控制系统网络,恶意代码造成不必要的系统停机和数据病毒感染腐败非法物理存取无权限者进行一次物理攻击,以实现对受保护工业控制系统组件的物理存取 6.3.3威胁调查 6.3.3.1概述工业控制系统网络化、系统化、自动化、集成化的不断提高,尤其是互联网技术进人工业控制领域，信息系统与工业控制系统的集成,其面临的安全威胁日益增长威胁调查就是要识别被评估方工业控制系统中可能发生并造成影响的威胁,进而分析哪些威胁发生的可能性较大、可能会造成重大影响,如图ll所示 17
GB/T36466一2018 愉入方法输出 I.I(CS所处物踝环境 2.臂理CS的人员 3.管理cS制度策略 4.资产识别结果 5,网络拓扑图 1.文档奔阅 1.,威胁途径 6.故障记冰文件 2.现场核查 2,威胁发牛的可能性及 7.组织中其他cS而临的 3.现场访谈其影响威胁 4.资料收集 3.威胁的攻击分类表 8.评估范围 9.第三方机构发布的1csS 面临的威胁 10,战胁源分类表 11.威胁分类衣 12.共他图11威胁调查工业控制系统大多部署网闸设备,在工业控制网络和外部网络之间进行网络隔离威胁调查中要着重识别针对网闸等网络隔离设备的威胁评估组将被评估的工业控制系统所处的自然环境、相关管理制定策略、资产清单、网络拓扑图、故障记录等文件进行汇总,对系统相关人员进行访谈,以识别工业控制系统威胁,如图11所示实施指南如下评估方通过查看系统日志,分析系统面临的威胁; a 评估方可参考被评估方内其他工业控制系统面临的威胁来分析本系统所面临威胁 b) 评估方可收集一些第三方组织发布的安全态势方面的数据 c d 若系统运行过一段时间,可根据以往发生的安全事件记录,分析系统面临的威胁例如,系统维修频率,系统受到病毒攻击频率,系统不可用频率,系统遭遇黑客攻击频率等 6.3.3.2威胁途径及可能性威胁途径是指威胁源对工业控制系统或信息系统造成破坏的手段和路径威胁源对威胁客体造成破坏,有时候并不是直接的,而是通过中间若干媒介的传递,形成一条威胁路径在风险评估工作中,调查威胁路径有利于分析各个环节威胁发生的可能性和造成的破坏威胁是客观存在的,但对于不同的被评估方和工业挖制系统,威胁发生的可能性不尽相同威胁发生的可能性与威胁途径、攻击能力、动机、工业控制系统的脆弱性、保障能力是密切相关的例如,当威胁需要物理接触设备时,其可能性会大大降低实施指南如下评估方统计以往安全事件报告中出现过的威胁及其频率 a b 评估方统计现场工业控制系统中通过检测工具以及各种日志发现的威胁及其频率，统计国际组织发布的关于该工业控制系统及其组件面临的威胁及其频率; c d 确定不同威胁的频率值; e 非人为威胁途径表现为发生自然灾难、出现恶劣的物理环境、出现软硬件故障或性能降低等 fD 人为的威胁途径表现为嗅探,重放、拒绝服务、误操作等; 18
GB/36466一2018 调查威胁攻击路径,要明确威胁发生的起点、威胁发生的中间点以及威胁发生的终点,并明确 g 威胁在不同环节的特点,确定威胁路径; h 根据威胁途径、攻击能力等判断威胁发生的可能性 6.3.3.3威胁的影响威胁出现的频率是衡量威胁严重程度的重要要素,因此威胁识别后需要对发生频率进行赋值,以代人最后的风险计算中威胁客体是威胁发生时受到影响的对象,威胁影响跟威胁客体密切相关当一个威胁发生时,会影响到多个对象威胁客体有层次之分,通常威胁直接影响的对象是资产,间接影响到工业控制系统和组织实施指南如下识别那些直接受影响的客体,再逐层分析间接受影响的客体 a b)确定威胁客体的价值,其价值越大,威胁发生的影响越大; 确定客体范围,其范围越广泛,威胁发生的影响越大 c 受影响客体的可补救性也是威胁影响的一个重要方面遭到威胁破坏的客体,有的可以补救 d 且补救代价可以接受,威胁发生的影响较小;有的不能补救或补救代价难以接受,威胁发生的影响较大 6.3.4威胁分析在调查威胁的基础上,识别威胁发生的概率,威胁影响,分析并确定计算威胁值的方法并对其进行赋值威胁分析实施见GB/T315092015 6.4脆弱性评估 6.4.1脆弱性评估概述脆弱性是资产自身存在的,威胁总是要利用资产的脆弱性才可能造成危害评估方应考虑工业控制系统脆弱性具有难以修复、,原则上需要保密的特点,从物理环境、网络、平台和安全管理4个方面对工业控制系统脆弱性进行评估脆弱性评估分为脆弱性识别与脆弱性分析赋值两个环节脆弱性识别的依据可以是国际标准或国家安全标准,也可以是行业规范,应用流程的安全要求对应用在不同环境中相同的脆弱点,其脆弱性严重程度是不同的,评估者应从被评估方安全策略的角度考虑、判断资产的脆弱性及其严重程度蛇入方2 抽出 1.以往风险评报告 2.审计说明 3.安全需求 1.义档查阅 4.安全测试结果 2.现场核查 5.已采取的安伞挖 3.现场访谈脆刺及其严重程皮 6.系统所处的安全等级 4资料收集 7.组纵计划的安伞控制 5.模拟仿真环境测试 8.,评估范围 9.ICs常见胎弱性 10.安今标准图12脆弱性识别工业控制系统以往风险评估报告,审计说明,安全需求,安全测试结果、系统所处的安全等级、被评 19
GB/T36466一2018 估方计划实施的安全措施、评估范围、常见脆弱性、依据国际或国家安全标准等均可作为评估方评估的资料评估方通过资料收集,文档查阅,现场访谈、现场核查、模拟仿真环境测试等方法识别工业控制系统存在的脆弱性,如图12所示实施指南如下评估方通过现场访谈和现场核查的方式对物理环境脆弱性进行识别,具体识别过程见6.4.2 a 评估方通过现场访谈,现场核查等方式对网络脆弱性进行识别,具体识别过程见6.4.3 b 评估方通过现场访谈、现场核查、模拟仿真环境测试的方式对平台脆弱性进行识别,具体识别过程见6.4.4; d 评估方通过文档查阅、现场访谈和现场核查的方式对安全管理脆弱性进行识别,具体识别过程见6.4.5 6.4.2物理环境脆弱性识别物理环境脆弱性识别主要识别工业控制系统物理环境的安全风险,包括场所环境、电磁环境、设备实体、线路等方面评估方核查已采取物理环境的安全措施及验证其已采取的安全措施有效性,同时查看基于该安全控制级别缺少哪些安全措施实施指南如下评估方文档查阅及访谈被评估方相关人员确定工业控制系统所处的安全控制基线级别,参考 a 系统所处级别应采取的安全措施,查看系统是否存在明显不符的脆弱性评估方现场核查所在的场所建筑物是否坚固,是否存在易于闯人的任何缺口,所有外部门是 b 否使用控制机制来保护,防制未授权进人,采用哪些安全措施,验证核实已采用措施的有效性; 工业控制系统所在场所、办公室、公共访问接待区是否交叉,有无安全保卫人员,有无监控装置等; 评估方现场核查工业控制系统所在场所与办公室和公共访问接待区有交叉的建筑物是采用 d 何种方式的物理访问控制,并核实其采取的安全措施的有效性例如门禁、身份标识,访客人员登记、专人陪同、不准携带移动介质、相机等管理措施; 评估方查看工业控制系统所在场所是否安装避雷针、安装通风装置、配备灭火器、配备应急电源、,远离易燃易爆物品、建筑物漏水渗水等; 评估方查看工业控制系统场地是否处于复杂的电磁环境,内部电磁信息是否泄漏; f 网络节点中心,网络设备、安全防护设备、办公设备、工作站、服务器和现场设备等设备安放位 g 置是否合适、是否将需要专门保护的组件隔离放置等; h)光缆、电缆、网络线缆等线路是否在地下布线，且将电源电缆与通信电缆分开布线,电缆设备标识是否清晰表6列出了工业控制系统通常可能存在的物理环境脆弱性表6物理环境脆弱性脆弱性描述系统所在场所建筑物无物理屏场所外墙应够坚固,外部的门应便用控制机制保护,例如,身份识别仅器、门禁系障或访问控制机制统将锁,报警器等,若无物理屏障可导致未授权人员可以进人系统所在场所系统所在场所建筑物未安装安应在系统所在场所建筑物安装安防监控系统,防制设备和信息被盗,造成信息防监控系统泄漏系统无应急电源系统应配备应急电源,防制断电对设备的损坏及数据丢失造成损失系统应配备应急开关以便紧忽情况快速切断电源系统无应急开关 20
GB/36466一2018 表6(续脆弱性描述来安装加热酒风、空等支持需安装加热/通风,空调等支持系统,保证工业控制系统工作环境的稳定系统火灾、洪水、地震、雷电和地震等自然灾害引起破坏时,应能备份系统数据,远离易自然灾害燃易爆材料,配备适当的灭火器缺少访问登记机制第三方人员及临时授权人员进人系统场所时应有访问登记记录,防制未授权进人系统处于复杂电磁环境内应避免系统暴露于强电磁场等有较强电磁干扰的环境内 6.4.3网络脆弱性识别 6.4.3.1网络结构及网络边界脆弱性识别网络结构及网络边界脆弱性是指工业控制系统网络结构及网络边界存在的脆弱性表7列出了通常工业控制系统可能存在的网络结构和网络边界脆弱性表7工业控制系统网络结构和网络边界脆弱性脆弱性描述被评估方设计实施时未对工业控制系统网络进行分层隔离,可能会导致部分设备工业控制系统网络未分层出现的安全问题弥散到整个工业控制系统网络中因业务和操作需要对工业控制系统网络架构的开发和修改,可能在不经意间将安薄弱的网络安全架构全漏洞引人网络架构的某一部分中企业资源层网络与工控网络中网络之间未部署网络隔离设备,可直接通信攻击数据包和恶意软件在网络之间未部署逻辑隔离设备传播,可轻易监测到其他网络上的敏感数据,造成未经授权的访问双宿主机可以导致数据在两个网络之间传输,若没有适当安全措施的双宿主机将使用双宿主机会造成额外的威胁控制数据与非控制数据有着不同的要求,比如可靠性程不同,因此在同一个网在控制网中传输非控制数据络中传输两种流量会导致难以配置网络例如,非控制流量可能会大量损耗控制流量传输所需要的网络带宽资源,导致工业控制系统的系统功能中断网络中使用的服务,如DNS、DHCP、HTTP,FTP,SMTP等,在控制网络中被使在控制网络中应用IT网络服务用时,可能引人额外的严重安全漏洞非法的数据流向控制网络的数据重要网络链路或设备没有冗余在重要的网络中没有冗余备份链路,可能导致设备遭遇单点故障配置不清晰,将难以保证必要的安全措施被合适的实施或配置,会控制网络边界定安全边界定义不清晰导致对系统和数据的未授权的访问和其他问题设备MAC地址未绑定设备的MAC地址未绑定,容易遭到中间人攻击导致无用数据在网络间传递这会引缺少或未配置合适的边界防护控制措施会5 边界防护设备访问控制措施起多种问题,如攻击和病毒在网络中扩散,可以在其他网络中对控制网中敏感数不当据进行监控和窃听及对系统进行非法访问等网络设备日志未开启如果没有合适,详细的日志信息,将无法分析出导致安全事件发生的原因如果不进行定期的安全监控,事故可能被忽视.将可能导致额外的破坏或中断未部署安全监控设备
GB/T36466一2018 核查网络结构和网络边界脆弱性,以及被评估方采取的安全措施的有效性实施指南如下查看网络拓扑图及现场核查工业控制系统网络结构是否分层,各层之间是否部署访问控制设备、人侵检测设备、,安全隔离设备、安全审计设备和防护设备等,未部署上述设备的网络是否有其他措施替代 b 现场核查企业资源层网络与工控网络中是否部署逻辑隔离设备,如防火墙等; 现场核查工业控制系统部署访问控制设备、人侵检测设备、安全隔离设备、安全审计设备和防护设备等的配置,并验证其配置有效性,分析这些设备的日志;评估方可根据GB/T32919一 2016中附录B中B.16和B.17进行评估 d 现场核查工业控制系统是否使用远程通信,是否使用访问控制措施 e 现场核查边界防护设备的访问控制措施配置是否合适; f 在模拟仿真环境中对是否存在通过侵人远程设备进而控制部分或整个工业控制系统的风险进行测试分析; 查看工业控制系统网络运维记录或日志记录网络中曾出现过的故障及原因 g 工业控制系统网络与办公网之间的接人点数量是否严格控制,接人口是否进行安全管理和安 h 全防护; 查看网络中是否存在双宿主机使用情况; 查看设备MAC地址是否绑定; j k)评估方查看工业控制系统网络是否部署组织企业管理级应用,是否在控制网络中传输非控制数据评估方在模拟环境测试中抓取网络数据,并分析控制数据、口令等是否加密并在模拟仿真环 D 境进行DOS攻击,验证是否存在非控制流量大量损耗控制流量传输所需要资源,导致工业控制系统的系统功能中断的脆弱性 m评估方现场核查工业控制系统网络中是否有冗余链路和设备评估方查看控制网络中是否应用IT网络服务,例如DNs、DHCP,F:TP、Telnet、SMTP n sNMP等; 评估方根据工业控制系统使用的服务应用,在模拟仿真环境中进行DNS劫持,ARP欺骗,获 o 取远程登录密码,发送恶意软件等测试,验证在控制网络中使用IT网络服务应用存在脆弱性评估方查看网络拓扑图及现场核查其网络,并在实验室中进行跨VLAN攻击,验证被评估方 p 划分VILAN合理性及安全性; 评估方现场对系统网络的边界完整性进行核查 Q 6.4.3.2网络设备脆弱性识别网络设备脆弱性是指工业控制系统网络设备存在的脆弱性,表8列出了工业控制系统的网络设备通常可能存在的脆弱性表8工业控制系统网络设备脆弱性脆弱性描述网络设备物理保护不足应对网络设备的物理访问进行控制,以防止破坏网络设备不安全的物理端口不安全的通用接口如UsB.,Ps/2等外部接口可能会导致未授权的设备接人 22
GB/36466一2018 表8(续脆弱性描述对网络设备进行不当的物理访问会导致: 数据和硬件窃取数据和硬件的物理损伤破坏无关人员物理访问网络设备对网络安全环境(比如,修改ACL允许攻击进人网络)的篡改未授权的阻止或控制网络行为关闭物理数据链路未采用数据流控制机制,如利用访问控制列表ACI),限制系统或人对网络设备没有使用数据流控制的直接访问使用缺省配置往往导致主机上运行了不必要的开放端口和可能被威胁所利用的安全设备配置不当网络服务不当的防火墙配置规则和路由器访问控制列表将允许不必要的流量通过没有制定和实施网络设备配置备份和恢复规程,偶然或者恶意对网络设备配置进网络设备配置未备份行修改造成系统通信中断时无法及时恢复以明文传输的口令很容易被攻击者窃听,攻击者会利用这些口令对网络设备进行口令未加密传输非法访问通过这种访问,攻击者可以破坏工业控制系统的系统操作或者监视工业控制系统系统网络行为口令应定期更换,这样,即使未授权用户获得密码,也只有很短的时间段内可以访网络设备口令长期未更改问网络设备未定期更换密码可能使黑客破坏工业控制系统的操作或监视器工业控制系统的网络活动通过非法访问网络设备,攻击者可以破坏工业控制系统的系统操作或者监视工业采用的访间控制不足控制系统网络行为专用工业控制系统协议转换设将工业控制系统网络中总线协议转换为以太网协议进行数据传输,该设备多为专备采用默认设置用设备,管理人员对其内部知之甚少,多采取出厂默认设置,存在一定安全风险实施指南如下: 查看重要网络设备放置场所,场所有无物理访问控制、有无禁止无关人员进人的措施,是否安装监视系统,是否安装空调等支持设备;针对被评估方采取的措施,验证其有效性; 查看是否留有不安全的物理端口,是否将无用的USB,PSs/2、网络接口封堵,是否采用技术手段对这些端口进行监控; 查看设备的访问日志,安全配置及网络权限,在模拟环境中对设备进行测试,通过尝试使用口令绕过,提取权限,修改 ,发现设备的脆弱性,并验证其安全措施的有效性; d 在模拟测试环境中查看设备是否开启不必要的端口并对其进行测试; 在模拟仿真测试环境中查找设备存在的系统漏洞 e 查看网络设备口令更新周期及字符长度等配置现场访谈被评估方是否为网络硬件配备专门运维人员; g h 现场访谈及核查被评估方是否对替换下的网络硬件进行登记、保存或按照要求进行销毁 6.4.3.3通信和无线连接脆弱性识别通信和无线连接脆弱性是指工业控制系统网络通信和无线连接存在的脆弱性表9列出了工业控制系统的通信和无线连接通常可能存在的脆弱性 23
GB/T36466一2018 表9通信和无线连接脆弱性脆弱性描述攻击者可以使用协议分析工具或者其他设备解析ProfiBus、DNP、Modbus,CAN 等协议传输的数据,实现对工业控制系统的网络监控使用这些协议也可以使攻通信协议明文传输击者更容易攻击工业控制系统或控制工业控制系统网络行为许多工业控制系统协议不具备认证机制,采用此类型的通信协议,存在重放或算通信协议缺少认证机制改数据的可能性大部分的工业控制系统协议不具备完整性检查机制攻击者可以操纵这种没有缺少通信完整性保护完整性检查的通信无线连接客户与接人点间认无线客户与接人点之间认证不足,导致客户霸访向的是攻击者伪造的接人点证不足同时非法人侵者可访问工业控制系统无线网络无线连接客户端与接人点间数无线客户端与接人点间传递的敏感数据未采用加密保护,攻击者监听明文信息造据保护不力成信息泄露无线网络边界不清无线网络的范围无法精确控制,导致非受控终端的接人实施指南如下现场对工业控制系统控制柜及机房环境中的无线网络进行搜索,确认企业的无线组网是否采 a 取身份认证措施是否需要标识和密码验证、是否采取安全监测措施,检查被评估方有无为防止经无线网络进行恶意人侵所采取的其他措施,并分析其有效性在模拟仿真环境中对使用的通信协议进行协议分析,分析是否是明文传输， b c 在模拟仿真环境中使用重放攻击验证是否有数据校验,防篡改的措施 d 评估方现场核查无线连接客户端与接人点间的认证方式,评估方在模拟仿真环境中采用相应的测试方法验证其有效性; 评估方现场核查是否有未授权接人无线网络的设备; f 在模拟仿真环境中使用相应的工具分析该无线协议是否明文传输 6.4.4平台脆弱性识别 6.4.4.1平台脆弱性识别概述工业控制系统平台是由工业控制系统硬件、操作系统及其应用软件组成平台脆弱性是由工业控制系统中软硬件本身存在的缺陷,配置不当和缺少必要的维护等问题造成平台脆弱性包括平台硬件、平台软件和平台配置3个方面的脆弱性 6.44.2平台硬件脆弱性识别平台硬件脆弱性是指工业控制系统平台硬件设备存在的脆弱性表10列出了工业控制系统的平台硬件通常可能存在的脆弱性表10平台硬件脆弱性脆弱性描述开启远程服务的设备安全保护开启远程服务的设备没有配备运行维护工作人员,也没有物理监视技术手段不足安全变更时未进行充分测试更换设备时,未对其进行充分的检测 24
GB/36466一2018 表10(续脆弱性描述不安全的物理端口不安全的通用接口如UUsB,Ps/2等外部接口可能会导致设备未授权接人无访问控制的硬件调试接口员可利用调试工具更改设备参数,造成设备非正常运行不安全的远程访问工业控制未部署安全措随,开启了调制解器和其他远程访同措施使维护工程师和供应统设备商获得远程访问系统的能力重要设备无冗余配置重要的设备没有备份会导致单点失败 1不同网络的设备,可能会导致未授权访同开矗成本应逻辑隔网使用双网卡连接到设备中使用双网卡连接网络的网络出现数据交互工业控制系统中某些设备模块未进行资产登记,可能会导致存在非授权用户访间设备未进行注册点以及后门设备存在后门工业控制系统中关键设备存在后门,可能会导致非法窃取系统数据实施指南如下: 查看被评估方是否为平台硬件,尤其开启远程服务的设备配备运维人员 a 查看是否留有不安全的物理端口,是否将无用的USB,Ps/2,远程接口、网络接口进行封堵,或 b 采取其他技术措施进行监控查看是否有对变更设备时的测试记录或者其他证明变更时进行过测试的证据; 现场核查工业控制系统中是否存在调制解调器或专业远程连接设备,是否针对这些设备部署 d 安全措施,并验证安全措施的有效性现场核查是否仅必要人员可以物理访问工业控制系统设备 e 现场核查被评估方的资产清单中是否包括工业控制系统所有设备 f 现场查看被评估方是否对重要设备进行冗余设计,并按设计部署; g 现场查看硬件设备中是否存在使用双网卡; h) i 检测关键设备是否存在后门 6.4.4.3平台软件脆弱性识别平台软件脆弱性是指工业控制系统平台软件存在的脆弱性平台软件包括工业控制系统使用的操作系统、应用软件、防病毒软件等在工业控制系统中,SCADA主机、操作站、工程师站、HM、历史数据库,实时数据库等通常使用与IT行业相同的计算机,服务器以及操作系统(主要是wINDOwS和 UNIX) PIC,RTU,DcS控制器以及其他数据采集设备一般使用专用的实时或嵌人式操作系统,这些实时或嵌人式操作系统内部安全功能有限表11列出了工业控制系统平台软件通常可能存在的脆弱性表11工业控制系统软件脆弱性脆弱性描述工业控制系统软件可能存在缓神区出的间题攻击者可以利用这一点实施缓冲区溢出攻击缺省配置中关闭安全功能如果关闭或者不使用产品自带的安全功能,此类安全功能将不能起到作用大多数实时或嵌人式操作系统都没有拒绝访间系统资源的机制工业控制系统拒绝服务攻击软件可能遭受DoS攻击,导致合法用户不能访问系统,或者系统操作和功能延迟 25
GB/T36466一2018 表11(续脆弱性描述对未定义、定义不明确或"非法” -些工业控制系统没有进行有效检测就处理可能包含格式错误或者包含非法域值的数据包情况的错误处理依赖OPC 不升级系统补丁,RPC/DCOM的脆弱性可能被利用来攻击OPC 工业控制系统普遍使用的CAN、DNP3,0,Modbus、IEC60870-5-101、IEC60870-5 使用不安全的工业控制系统 104和一些工业控制系统专用协议的相关信息已公开或被破译而且这些协议中协议只有很少或根本不包含安全功能开启了不必要的服务不必要的服务未被禁用关闭,可能会被利用许多工业控制系统的系统协议以明文方式传递信息,导致消息很容易被攻击者使用明文传输协议窃听配置和程序软件的认证和访问攻击者可以通过非法访问配置和程序软件破坏设备或系统控制不足未安装人侵检测和防御软件人侵行为会导致系统不可用,数据被截获、修改和删除,控制命令的错误执行某些软件中存在安全后门不法供应商为了各种目的,在提供的软件中设置后门,危害性大工业控制系统采用的部分通信协议,由于设计原因存在安全脆弱性,这些协议脆通信协议脆弱性羁性可能被攻击者利用,造成系统的不可用,数据被截获,修改和制除,控制系统执行错误的动作等未安装防护软件恶意代码会导致系统性能低下,系统不可用和数据被截获,修改和删除病毒防护软件病毒库过期病毒防护软件病毒库过期导致系统容易被新的病毒攻击安装病毒防护软件及其病毒库未经测试就安装病毒防护软件及其病毒库升级包可能会影响工业控制系统的正升级包前未经过仔细的测试常运行操作系统存在漏洞操作系统不升级补丁,存在已知漏洞实施指南如下评估方查看平台中安装的操作系统版本及应用软件类型,例如;windows操作系统、嵌人式系 a 统、Linux系统、程序下载软件、数据库软件、,远程控制软件等; 必要时在模拟仿真环境中对重要组件进行组件测试,识别其脆弱性; b 在模拟仿真环境中查看设备开启的端口,是否开启了不必要的端口服务 d 在模拟仿真环境中查找设备存在的系统漏洞; 评估方查看平台是否安装病毒防护软件,病毒防护软件是否经过测试安装,病毒库是否定期更新,查看测试记录及病毒库更新记录; 现场核查系统使用DcOM设备是否进行端口限定,是否对OPC及时修补升级， f) 在模拟仿真环境中可以使用恶意代码针对OPC进行测试,识别其脆弱性 g 查看关键应用软件源代码,若关键应用软件为第三方供应商提供,则需与其联系,取得软件源 h 代码,对其进行分析研判,识别其脆弱性; 现场核查在远程访问控制设备时使用的专用设备及软件,在模拟仿真环境中对其进行技术检测,识别其脆弱性; iT 现场核查并分析系统运行产生的历史数据,验证系统数据是否曾出现异常及出现异常的时间及原因 k评估方查看程序下载软件固件的使用权限,下载程序是否加密认证,并验证其认证的有效性 lD 评估方现场查看工业控制系统中使用了哪些的工控协议,其是否只用于工业控制系统控制网 26

信息安全技术工业控制系统风险评估实施指南GB/T36466-2018解读

随着工业控制系统的普及应用，其安全性已经成为了一个备受关注的问题。在这样的背景下，国家发布了《信息安全技术工业控制系统风险评估实施指南》（以下简称指南），旨在规范和引导工业控制系统的风险评估工作，确保系统的安全可靠。

该指南主要从以下几个方面对工业控制系统的风险评估进行了详细的规定：

1. 基础要素

风险评估应该基于充分的了解和掌握工业控制系统的基础要素，包括但不限于系统的结构、功能、特点、运行环境等。

2. 风险评估过程

风险评估过程应该由规划、数据收集、风险分析、风险评价和报告撰写等五个流程组成。每个流程都有相应的要求和步骤，具体应根据实际情况进行调整。

3. 风险评估方法

风险评估方法包括定性分析、定量分析和半定量分析三种。其中，定性分析适用于初步了解系统状况；定量分析适用于精细化评估系统风险；半定量分析则是两者之间的过渡手段。

4. 风险评估指标体系

风险评估指标体系包括风险源指标、威胁源指标、漏洞指标、安全控制指标和风险度量指标等五个方面。通过这些指标可以全面、准确地评估工业控制系统的风险程度。

5. 风险评估报告

风险评估报告应当包括风险评估的基本情况、风险评估结果和建议、安全控制建议以及其他相关内容。报告撰写应当认真严谨，确保信息清晰、完整。

总之，GB/T36466-2018标准为工业控制系统的风险评估工作提供了详细的实施指南和规范，有助于保障工业控制系统的安全性和可靠性，并且对于工业自动化行业的发展具有重要的意义。